Schlagwortarchiv für: Corona

Update – Corona: Prüfung des Impfstatus durch die Arbeitgeber

Am 18./19. November haben Bundestag und Bundesrat eine Anpassung des Infektionsschutzgesetzes (IFSG)beschlossen. Die Gesetzesänderungen werden mit der Veröffentlichung im Bundesgesetzblatt voraussichtlich schon ab 24.11.2021 gültig.

Neben vielen Verschärfungen der Corona-Regeln für Veranstaltungen, Restaurantbesuche u.a. enthält das IFSG nun auch eine explizite Vorschrift für die Arbeitgeber, nur noch Beschäftigte nach der 3G-Regel (Geimpft, Genesen, Getestet) auf das Betriebsgelände bzw. in die Büroräume zu lassen.
Beschäftigten, die die 3G-Bedingen nicht erfüllen oder nicht bereit sind, die entsprechenden Nachweise vorzulegen, ist der Zutritt zu Betriebsräumen zu verwehren. Bei Verstößen gegen diese Regelungen drohen dem Arbeitgeber erhebliche Bußgelder.

Das bedeutet, dass der Arbeitgeber bei den Beschäftigten den Impfstatus sorgfältig und verbindlich prüfen und dokumentieren muss. Das IFSG enthält die notwendige Rechtsgrundlage hierfür. Damit sind Prüfung und Dokumentation des Impfstatus auch unter Datenschutzaspekten erlaubt.
Zweck der Dokumentation ist der Nachweis des Impfstatus gegenüber den Aufsichtsbehörden. z.B. dem Gesundheitsamt. Hierfür dürfte bei ‚Geimpften‘ und ‚Genesenen‘ eine einmalige Prüfung und ein Eintrag in einer entsprechenden Prüfungsliste mit Status und Gültigkeitsdauer ausreichen. Bei ‚Getesteten‘ ist in jedem Fall eine regelmäßige (tägliche) Wiederholung der Prüfung notwendig.

Wie die einmalige Prüfung organisiert werden kann und inwieweit diese Prüfung im normalen Betriebsablauf hilfreich ist, bleibt fraglich. Wie will man in großen Unternehmen mit zahlreichen Beschäftigten die Geimpften und Genesenen von den ‚nur‘ Getesteten unterscheiden und die gegebenenfalls notwendigen regelmäßigen Tests sicherstellen?
Eine Prüfung durch die jeweiligen Vorgesetzen oder durch den Personalbereich sind sicherlich nicht immer einfach zu organisieren und zu kontrollieren. Im Zweifelsfall bleibt also doch nur die tägliche Prüfung der Impfbescheinigungen beim Betreten des Betriebsgeländes und / oder gleich die Durchführung der gegebenenfalls notwendigen Schnelltests durch das eigene Sicherheitspersonal.

Ein Aushang des Impfstatus aller Beschäftigten am Schwarzen Brett im Eingangsbereich ist jedenfalls nicht zulässig, ebenso wie die Kennzeichnung der ‚Geimpften‘ / ‚Genesenen‘ mit farbigen Armbändern oder ähnliches.
Soweit im Betrieb ein Betriebsrat vorhanden ist, empfiehl es sich natürlich, mit dem Betriebsrat gemeinsam die Verfahrensweisen zu verabreden und gegebenenfalls eine Betriebsvereinbarung abzuschließen.

Die Impfdaten der Beschäftigten unterliegen als Gesundheitsdaten gemäß Art. 9 DSGVO selbstverständlich den strengen Schutzvorschriften der DSGVO. Der Kreis der zugriffsberechtigen Personen ist daher unbedingt auf das notwendige Mindestmaß zu beschränken.
Für die Speicherdauer der Dokumentationseinträge zum Impfstatus können heute noch keine verbindlichen Festlegungen getroffen werden. In jedem Fall ist zu empfehlen, die entsprechenden Einträge umgehend nach Ablauf der Gültigkeitsfrist zu löschen.

Auch für diese neuen Regelungen zur Corona-Bekämpfung bleiben also Fragen hinsichtlich der praxisbezogenen Umsetzung offen. Wir werden weiterhin über die Entwicklung berichten.

/von

Die Corona-Warn-App auf dem Prüfstand

Mit gut dreimonatiger Verzögerung haben Bundesregierung und Robert-Koch-Institut (RKI) mit dem technischen Knowhow von Telekom und SAP die deutsche Corona-Warn-App an den Start gebracht. Seit zwei Wochen ist sie nun im Einsatz. Zeit für ein erstes Fazit.

Neben den gesetzlichen Maßnahmen zählt die sogenannte Corona-Warn-App zu einem weiteren wichtigen Instrument zur Eindämmung der Corona-Pandemie. Die App soll dabei helfen, Menschen nach Kontakten mit infizierten Personen zu warnen, damit diese reagieren können noch bevor sie selbst Symptome zeigen. Je mehr Menschen die Anwendung herunterladen, desto besser funktioniert das System.

Südkorea – das positiv schlechte Beispiel

Das eine App funktionieren kann, zeigt das in diesem Zusammenhang oft zitierte Beispiel Südkorea. Schon früh setzte das asiatische Land eine Tracing-App ein, um Infizierte zu lokalisieren und Infektionsketten frühzeitig und schnell zu unterbrechen. Extreme Infektionszahlen konnten so – auch ohne einen Lock-down – vermieden werden. Das ist ein beachtenswerter Erfolg. Dennoch taugt Südkorea nur bedingt als Beispiel für die Einführung einer Corona-App in Deutschland.

Im Gegensatz zu Deutschland ist Südkorea ein vollständig digitalisiertes Land. Staatliche Überwachung gehört zum Alltag und wird von der südkoreanischen Gesellschaft akzeptiert. Eine Freiwilligkeit bei der Nutzung der Corona-App sucht man vergeblich. Neben einer fast lückenlosen und konsequenten Massentestung der Bevölkerung, macht die Behörde Infizierte und deren Kontakte ausfindig, indem sie auf sämtliche Bewegungs-, Telefon- und Bankdaten der Bevölkerung sowie Überwachungsvideos aus dem öffentlichen Raum zugreift. In Deutschland würde ein solches Vorgehen bereits gesellschaftlich nicht akzeptiert werden. Überdies ließen sich derartige Methoden aufgrund der gesetzlichen Regelungen des Datenschutz nicht realisieren.

Funktionsweise der App

Für eine erste Einschätzung der App werfen wir einen Blick auf die Rahmenbedingungen bei uns in Deutschland. Hier stellt sich zuerst die Frage nach der Funktionsweise der Corona-Warn-App.

Der User muss die App – kostenlos im Apple- oder Google Play-Store erhältlich – selbst installieren und den Datenaustausch im Betriebssystem auch selbst aktivieren. Es gilt dabei der unbedingte datenschutzrechtliche Grundsatz der Freiwilligkeit und persönlichen Einwilligung. Eine automatische Installation der App gibt es nicht.

Die App nutzt den Funkstandard Bluetooth Low Energy (BLE), um den Abstand zwischen verschiedenen Personen zu schätzen. Dafür funkt sie regelmäßig ihre eigene Kennung und registriert gleichzeitig die Signale anderer. Wenn sich Menschen über eine gewisse Zeit nahe kommen, tauschen die Smartphones verschlüsselt ihre IDs aus. Falls nun ein Nutzer positiv auf das Coronavirus getestet wird, kann er das freiwillig in die App eingeben – und damit die gefährdeten Kontakte warnen.

Die Corona-Warn-App bewertet auf Basis verschiedener Faktoren das persönliche Infektionsrisiko. Solche Risikofaktoren sind zum Beispiel die Zeitspanne, wann man einen Infizierten getroffen hat, wie lange dieser Kontakt gedauert hat und wie nahe man der Person gekommen ist. Die App multipliziert diese Werte. Wird ein vom RKI vorgegebener Schwellwert erreicht, erhält der User eine Warnung auf sein Smartphone. Dies erfolgt nicht in Echtzeit, sondern zeitverzögert.

IT-Sicherheit und Datenschutz

Insbesondere die Themen IT-Sicherheit und Datenschutz spielen in der öffentlichen Diskussion um die Corona-Warn-App eine elementare Rolle. Den Entwicklern der App wurde immer wieder vorgeworfen, dass Angreifer über eine Schwachstelle in der App detaillierte Bewegungsprofile von Infizierten erstellen und unter Umständen dann die Betroffenen identifizieren könnten. Auch würde der Weg für den Aufbau einer flächendeckenden staatlichen Überwachungsstruktur eröffnet.

Dem ist jedoch entgegenzuhalten, dass bei der Kontaktverfolgung nur anonymisierte Schlüssel zum Einsatz kommen, die sich regelmäßig ändern. Informationen über das Zusammentreffen von Usern werden nicht zentral gespeichert, sondern dezentral auf den Smartphones. Auf dem Server der Betreiber liegt nur eine Liste mit den anonymen Schlüsseln von Infizierten. Der User erfährt also nicht, wer von seinen Begegnungen der positiv getestete Kontakt war. Der Chaos Computer Club (CCC) stellte hinsichtlich der dezentralen Struktur der App noch einmal nachdrücklich fest, dass ein potenzieller Angreifer schon einen enorm hohen technischen Aufwand betreiben müsse, um an wenige erkenntnisarme Informationen zu gelangen. Daneben erfüllt die App auch alle zutreffenden Anforderungen aus der technischen Richtlinie “TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das die Entwicklung der Corona-Warn-App von Beginn an beratend begleitet und unterstützt hat.

Der Bundesdatenschutzbeauftragte Ulrich Kelber begrüßte den hohen Stellenwert des Datenschutzes und – bedingt durch die Offenlegung des Quellcodes auf der Plattform GitHub – die Wahrung des Transparenzgrundsatzes bei der Corona-Warn-App. Mit einer ausführlichen Datenschutz-folgeabschätzung und der Vorlage einer vollumfänglichen Datenschutzerklärung wurden die erforderlichen datenschutzrechtlichen Dokumente vorgelegt.

Fazit

Betrachtet man die technische Struktur, die Einhaltungen der datenschutzrechtlichen Parameter und die vertrauensschaffende Transparenz, kann man der App und den verantwortlichen Akteuren ein durchweg positives Zeugnis ausstellen. Verständlicherweise liegt es in der Natur der Sache, dass eine komplexe Software, die innerhalb von nur wenigen Wochen entwickelt wurde, noch Schwachstellen und weitere Angriffspunkte beinhalten kann. Es steht außer Frage, dass diese regelmäßig geprüft und konsequent abgesichert werden müssen. Mit den durch die Corona-Warn-App gewonnenen anonymisierten Daten ist nach jetzigem Stand kein Erkenntnisgewinn über den einzelnen User möglich, so dass ein Datenmissbrauch oder gar eine strukturierte Überwachung aus unserer Sicht nicht zu befürchten ist.

Ziel der Warn-App ist die Eindämmung der Corona Pandemie zu unterstützen und damit die Gesundheit der Bürger zu schützen. Wenn wir also mit der Verwendung der App dazu ein Stück dazu beitragen können, ist dies in unser aller Interesse.

/von
,

Corona-Pandemie – Datenschutzkonformes Arbeiten im Home Office

Von Hans-Christian Schellhase, ANMATHO AG

Deutschland steht in Zeiten von COVID-19 (fast) still, im öffentlichen Raum bewegen sich nur Wenige. Schaut man jedoch in die Häuser und Wohnungen, finden sich dort momentan improvisierte Schulen, Spielplätze, Toilettenpapier-Lager, Fitness-Studios aber auch Büros, denn viele Beschäftigte arbeiten momentan im Home-Office. Diese Art der Arbeit ist allerdings eine, die datenschutzspezifische Herausforderungen mit sich bringt. Was sollte also hinsichtlich der Arbeit im Home-Office in Sachen  Datenschutz beachtet werden?

Was sollten Beschäftigte im Home-Office beachten?

Arbeitet ein Beschäftigter im sog. Home-Office, also flexibel von Zuhause aus, ist er dabei regelmäßig dem gleichen datenschutzrechtlichen Regelwerk unterworfen wie auch bei der Arbeit im Büro:

  • Werden personenbezogene Daten also auch im Home-Office verarbeitet, dies ist regelmäßig der Fall, muss der Beschäftigte darauf achten, dass diese Daten nicht von Dritten – insbesondere Familienmitgliedern – eingesehen oder sonst wahrgenommen werden können. Dokumente sollten etwa nicht für alle einsehbar auf dem Küchentisch oder im Wohnzimmer ausgebreitet und Bildschirme so gedreht werden, dass Dritte ihre Inhalte nicht erkennen können. Auch Telefonate sollten möglichst nicht in Anwesenheit anderer geführt werden. Schaffen Sie sich gerne Zuhause – soweit möglich – einen eigenen Bereich zum Arbeiten.
  • Optimal wäre es nach Möglichkeit in einem separaten, abschließbaren Raum zu arbeiten. Ist dies nicht möglich, sollte zumindest die Aufbewahrung aller personenbezogenen Daten, vornehmlich aller betrieblichen Unterlagen, in einem abschließbaren Schrank erfolgen.
  • Die vom Arbeitgeber für die Tätigkeit im Home-Office bereitgestellten technischen Geräte, vornehmlich Smartphones und Laptops, sollten zudem nicht privat genutzt werden, soweit für eine private Nutzung keine entsprechenden Vereinbarungen mit dem Arbeitgeber bestehen. Kinder dürfen diese Geräte also nicht für Hausaufgaben, das Surfen im Internet oder Computerspiele verwenden. Zudem sollte das jeweilige Geräte gesperrt werden, wenn es – ggf. auch nur kurzzeitig – nicht genutzt wird.
  • Berufliche E-Mails dürfen auch im Home-Office nicht zu ihrer Bearbeitung an private E-Mail-Postfächer der Beschäftigten weitergeleitet werden. Darüber hinaus dürfen – wie im Büro – auch keine Clouddienste über den privaten Account des Beschäftigten genutzt werden, um etwa betriebliche Dokumente oder andere Daten mit anderen Beschäftigten oder Dritten auszutauschen, dies gilt ebenso für private USB-Sticks oder Festplatten, die ebenso nicht für die berufliche Tätigkeit verwandt werden dürfen. Jeder Beschäftigte darf auch im Home-Office regelmäßig nur die Arbeitsmittel einsetzten, die ihm vom Arbeitgeber zur Verfügung gestellt wurden, hierdurch soll etwa auch ein Datendiebstahl durch Dritte verhindert werden.
  • Private Telefone oder Smartphones, die auch für die Arbeit im Büro nicht genutzt werden dürfen, dürfen auch im Home-Office nicht zur Erledigung der beruflichen Tätigkeit genutzt werden. Alle Beschäftigten müssen daher insbesondere auf Telefonate oder das Schreiben von Nachrichten mit den privaten Geräten zur Erledigung der beruflichen Tätigkeit verzichten, soweit es keine Bring-Your-Own-Device-Regelungen mit dem Arbeitgeber gibt.
  • Müssen Ausdrucke oder andere Papierdokumente vernichtet werden, sollte dies auch im Home-Office datenschutzkonform erfolgen. Ausdrucke von personenbezogenen Daten und anderen sensiblen Inhalten sollten somit nur mit Hilfe eines Schredders vernichtet oder zumindest mit einer gewissen Sorgfalt in kleine Stücke zerrissen werden.

Was muss der Arbeitgeber hinsichtlich einer Tätigkeit der Beschäftigten im Home-Office beachten?

Damit auch im Home-Office der Datenschutz nicht zu kurz kommt, treffen auch den Arbeitgeber gewisse Pflichten:

  • Der Arbeitgeber muss alle Beschäftigten zunächst auf die Problematik des Datenschutzes im Home-Office ausführlich hinweisen und sollte dies auch dokumentieren. Im Rahmen dieser Sensibilisierung sollte der Arbeitgeber wenigstens die oben erläuterten Punkte aufgreifen.
  • Der Arbeitgeber muss zudem den im Home-Office arbeitenden Beschäftigen eine IT-Ausstattung zur Verfügung stellen, mit der die datenschutzkonforme Arbeit auch möglich ist. Werden Laptops ausgegeben, sollte deren Festplatte etwa verschlüsselt werden. Das gilt auch für die vom Arbeitgeber ausgegebenen USB-Sticks oder andere Speichermedien. Auch Smartphones, samt Speichermedien wie SD-Karten, sind zu verschlüsseln.
  • Der Arbeitgeber sollte zudem alle Bildschirme von betrieblichen Geräten für das Home-Office mit entsprechenden Sichtschutzfolien ausstatten, damit deren Inhalte nur schwer eingesehen werden können, solche gibt es auch für Smartphones.
  • Der Zugriff auf das jeweilige Betriebssystem und auch alle anderen vom Arbeitgeber bereitgestellten elektronischen Endgeräte muss zudem mit einem Kennwort oder einer PIN versehen werden.
  • Die elektronische Datenübermittlung – etwa E-Mail – muss nach dem Stand der Technik verschlüsselt sein, Zugriffe auf die Systeme des Arbeitgebers sollten lediglich über VPN, SSL bzw. TLS möglich sein. Die eingesetzten Verschlüsselungen sollten darüber hinaus auf ihre Belastbarkeit getestet werden, bevor Beschäftigte sie in großer Zahl nutzen.
  • Es sollte weiter ein Konzept zum Umgang sowie hinsichtlich der Vernichtung von sensiblen Unterlagen und Ausdrucken aber auch zu den anderen bereits oben betrachteten Punkten erarbeitet werden. Hier wäre ebenfalls zu prüfen, ob der Arbeitgeber auch für das Home-Office Drucker, Scanner, Kopierer oder Schredder – zumindest zeitweise – zur Verfügung stellt.

 Die Bazooka für den Home-Office-Datenschutz: Die Home-Office-Richtlinie

Sofern zeitlich noch oder wieder möglich, sollte die Arbeit der Beschäftigten im Home-Office in einer Richtlinie geregelt werden, wobei bei der Formulierung einer solchen Richtlinie der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat miteinzubeziehen sind.

Bleiben Sie tapfer und gesund!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen